幻想使用360攝像頭偷拍？360官方嚴(yán)陣以待，不法分子表示已放棄

現(xiàn)階段，攝像頭已經(jīng)廣泛應(yīng)用于生活的方方面面，在帶給我們便利的同時(shí)，也讓不法分子發(fā)現(xiàn)了可乘之機(jī)。今年6月，澎湃新聞連發(fā)三篇報(bào)道，揭示了偷拍相關(guān)黑色產(chǎn)業(yè)鏈，在此之前，央視也報(bào)道了大量攝像機(jī)被破解，IP地址被公開叫賣的問題。在近日舉辦的ISC 2020第八屆互聯(lián)網(wǎng)安全大會(huì)上，攝像頭安全問題同樣引起了與會(huì)各方的高度重視，360智慧生活集團(tuán)軟件中臺(tái)部總經(jīng)理孫浩還為此發(fā)表了專題演講。

統(tǒng)計(jì)數(shù)據(jù)顯示，2019年新增暴露的攝像機(jī)IP數(shù)量已經(jīng)超過1500萬(wàn)——這還僅僅是部分掃描數(shù)據(jù)。從變化趨勢(shì)來(lái)看，近兩年的攝像機(jī)公網(wǎng)暴露情況是直線增長(zhǎng)的，隨著C端智能攝像機(jī)的進(jìn)一步普及，這個(gè)數(shù)據(jù)還將維持高增長(zhǎng)趨勢(shì)?？梢哉f(shuō)，攝像機(jī)的安全問題已經(jīng)得到了整個(gè)社會(huì)的廣泛關(guān)注。

孫浩表示，圍繞攝像頭常見的安全漏洞可以分為三大類：第一類是命令注入漏洞，可以借此執(zhí)行系統(tǒng)命令或者運(yùn)行任意程序，2016年10月，美國(guó)東海岸甚至因此造成了持續(xù)數(shù)小時(shí)的大規(guī)模斷網(wǎng);第二類是授權(quán)問題，可以訪問未授權(quán)或者通過某個(gè)隱藏入口直接訪問對(duì)應(yīng)的設(shè)備;第三類是服務(wù)器存在訪問控制缺陷，例如2018年4月HK云服務(wù)器發(fā)現(xiàn)訪問控制缺陷，任意人可以通過該漏洞實(shí)現(xiàn)查看攝像、回放錄像、添加賬戶共享等操作。

其中，影響最大的安全漏洞還要數(shù)弱密碼問題。由于弱密碼這類漏洞的破解技術(shù)含量非常低，這類的網(wǎng)絡(luò)攻擊已經(jīng)大規(guī)模的工具化、產(chǎn)業(yè)化。售賣破解工具、售賣已經(jīng)破解的IP地址和密碼、將已經(jīng)破解的設(shè)備做成一個(gè)可以在線查看的APP，諸如此類違法黑產(chǎn)行為，甚至已經(jīng)形成了一條完整的產(chǎn)業(yè)鏈。在此基礎(chǔ)上，攝像機(jī)安全漏洞，尤其是弱密碼帶來(lái)的風(fēng)險(xiǎn)，已經(jīng)愈演愈烈。

為了針對(duì)性地解決這些問題，360會(huì)在每一款新硬件、每一個(gè)固件在發(fā)版前，按照流程做安全滲透審查。目前，360的安全滲透審查大致分為五個(gè)方面：首先是硬件安全，查看有無(wú)遺留的物理接口——這里主要是調(diào)試接口、產(chǎn)測(cè)接口，能不能防物理攻擊，比如之前門鎖的小黑盒，需要能防電磁沖擊，做好屏蔽和ESD防護(hù);再者是系統(tǒng)安全，查看有無(wú)危險(xiǎn)的端口遺留，OTA更新對(duì)固件有無(wú)校驗(yàn)，有無(wú)系統(tǒng)漏洞等;其次是應(yīng)用層安全，查看應(yīng)用安裝、運(yùn)行通信有無(wú)風(fēng)險(xiǎn);然后是通信安全，主要針對(duì)各種協(xié)議進(jìn)行分析，檢查有無(wú)身份驗(yàn)證和數(shù)據(jù)傳輸問題;最后是云端安全，主要檢查有沒有遭受注入攻擊的風(fēng)險(xiǎn)，確保認(rèn)證安全和業(yè)務(wù)安全。

與此同時(shí)，為了盡可能地保障設(shè)備被合法使用，360還實(shí)施了以下舉措：一是針對(duì)家人分享功能，設(shè)定10人的分享上限，超出需求的特殊場(chǎng)景需要人工確認(rèn)審批;對(duì)頻繁分享、取消的異常行為也進(jìn)行了識(shí)別，做二次驗(yàn)證或者禁止。另外，為了避免賬號(hào)共用，目前360計(jì)劃借鑒金融平臺(tái)的設(shè)備安全認(rèn)證能力，打通內(nèi)部數(shù)據(jù)，完善賬號(hào)的異地登錄、可信設(shè)備管理等功能。

“物聯(lián)網(wǎng)安全是一種能力，更是一種態(tài)度，這不僅需要良好的研發(fā)規(guī)范和安審流程做保障，更需要與使用場(chǎng)景進(jìn)行深入結(jié)合。”正如孫浩在ISC 2020中所說(shuō)的那樣，類似攝像頭這種智能硬件的安全，需要廠商通過高度的責(zé)任心和嚴(yán)謹(jǐn)?shù)难邪l(fā)流程予以保障，唯有如此才能讓用戶買得放心，用得安心。